1.查询列出Microsoft Entra ID租户中的所有组信息

在Azure CLI中执行如下命令来查询当前Microsoft Entra ID中所有组信息(包括群组的名称、群组的ID及群组的描述),执行结果如下图所示。

az ad group list --query "[].[displayName]" -o table

若要列出当前Microsoft Entra ID租户中所有组的详细信息(包括:唯一标识符、组的显示名称、组的邮件别名、该组是否为安全组还是是Microsoft 365组),可通过执行命令来进行查询,查询结果如下图所示。

“az ad group list ”

2.查询特定群组所有成员

通过执行如下命令可查询当前Microsoft Entra ID租户中某个群组的成员,在实际枚举中,需要在“-g”参数选项后指定将要枚举的群组成员的群组名称,例如:“AAD DC Administrators”群组,执行结果如下图所示。

“az ad group member list -g "AAD DC Administrators" --query "[].[displayName]" -o table”

3.查询用户是否是指定组的成员

当我们获取到某个用户的Object ID(对象 ID)后,可通过执行如下命令来枚举判断该用户是否是指定组的成员,其中,<group name>为组的名称, <object ID>为用户的对象ID,在本例中,笔者以某个用户Object ID为“0db6ea8a-f197-4957-9071-26b49ee78952”为例,执行该命令去枚举其是否是“AAD DC Administrators”群组中成员,当“value”值为“true”时,则表示所枚举的用户为指定组的成员。

“az ad group member check --group "<group name>" --member-id <object ID>”

4.使用显示名称或对象 ID 查询特定组

在Azure CLI中执行如下命令可根据组名称或组Object ID(组对象ID)来枚举特定组信息,执行结果如下图所示。

“az ad group show -g <ID>”